1. По какой схеме настраиваете фаервол:

[RN3DCX]

Хотелось бы послушать мнение тех, кто использует firewall на ОS *Linux и *BSD -  на серверах смотрящих в мир.

По какой схеме настраиваете фаервол:

 

1. С начало список разрешающих правил и в конце запрещающее правило?

                                                         или

2. С начало запрещающее правило и далее список разрешающих правил?

 

 

[jffulcrum]

Я сначала запрещаю все точно не нужное. Типа, входящих с серых сетей на паблике. Потом разрешаю нужное. Потом запрещаю всё.

[No_name]

Работаю в основном с BSD. Делаю фаер закрытым, а потом открываю что нужно, после, по счетчикам смотрю количество срабатываний.

В итоге правила выстраиваю перемещая по возможности от большего к меньшему по количеству срабатываний. В каких то правилах использую tables, skipto, not, or

Считаю, это более актуально для браса с шейпером, на остальных серваках тоже стараюсь придерживаться этого принципа,

но принимая во внимание, что железо сейчас достаточно производительное, то как бы для некторых сервисов можно и не заморачиваться как там правила идут, ну кроме высоконагруженных.

Ну и стараюсь правильно планировать адресацию, когда можно фильтровать сразу большим кусом сети нежели размазывать на 100500 правил по одному хосту на правило. Но опять же все зависит от ситуации по фильтрации. У каждого по-своему.

 

[Negator]

5 часов назад, No_name сказал:

Работаю в основном с BSD. Делаю фаер закрытым, а потом открываю что нужно, после, по счетчикам смотрю количество срабатываний.

В итоге правила выстраиваю перемещая по возможности от большего к меньшему по количеству срабатываний. В каких то правилах использую tables, skipto, not, or

Считаю, это более актуально для браса с шейпером, на остальных серваках тоже стараюсь придерживаться этого принципа,

но принимая во внимание, что железо сейчас достаточно производительное, то как бы для некторых сервисов можно и не заморачиваться как там правила идут, ну кроме высоконагруженных.

Ну и стараюсь правильно планировать адресацию, когда можно фильтровать сразу большим кусом сети нежели размазывать на 100500 правил по одному хосту на правило. Но опять же все зависит от ситуации по фильтрации. У каждого по-своему.

 

И добавить нечего. Делаю также

[Ivan_83]

Наверное это вопрос из серии как оптимальнее писать правила.

Но схем есть несколько, одни более понятные другие более производительные.

 

Я бы хотел сказать что у меня всё красиво, но в группах по которым сгруппированы правила есть исключения и всё вместе это выглядит как лапша :)

 

Правила в группах сортируются по inet/inet6 и потом по протоколам.

 

pass out quick для не маршрутизируемого (броадкаст, мультикаст и тп) no state allow-opts

block return out quick заблоченые протоколы (самба) и хосты наружу и приватным сетям через внешние интерфейсы.

pass out quick для всего подряд и трафика с IP Options no state allow-opts

 

pass in quick для немаршрутизируемого (броадкаст, мультикаст и тп) no state allow-opts

 

pass in quick для ССШ

 

block drop/return in для заблоченых хостов, антиспуфинг и дефолтное запрещающее правило

 

pass in quick для доступа к сервисам на хосте и хождения трафика между сетями/интерфейсами.

[pppoetest]

Дефолтное полиси в дроп, нужно разрешается. +

Цитата

В итоге правила выстраиваю перемещая по возможности от большего к меньшему по количеству срабатываний.

 

[fox_m]

Сначала, все что разрешено (по портам), в конце все запретить. Использую iptables